Usar reglas propias con snort

Fastolfe · 4 Octubre 2011, 01:44 AM

Buenas! Estoy intentando usar reglas definidas por mi con el snort y me da el siguiente error:

ERROR: /etc/snort/rules/myownrules.rules(1) Missing argument to TRUSTED
Fatal Error, Quitting..

La regla que he definido es la siguiente:

var TRUSTED [192.168.1.1, 192.168.1.16]
alert tcp 192.168.1.13 any -> $TRUSTED any (msg:"Sample alert";sid:100000)

¿Alguien sabe qué es lo que falla?

adastra · 10 Octubre 2011, 00:12 AM

Hola, has intentado definir el rango de direcciones directamente en la regla y no con la var TRUSTED?
lo digo porque creo que el problema esta en que el motor de reglas de Snort no entiende el contexto de la regla que intentas definir, no se si lo sabes, pero en una regla TODO se debe declarar en una sola linea, no pueden existir saltos de linea (que creo que es lo que tienes) por eso no encuentra el argumento TRUSTED.
Para mayor información puedes ver este post:

http://thehackerway.wordpress.com/2011/07/20/utilizando-rulesets-en-snort-para-deteccion-de-amenazas-y-generacion-de-alarmas-parte-i

Un Saludo.

Fastolfe · 10 Octubre 2011, 22:44 PM

No, no hay saltos de línea, el error (lo descubrí tras un laaaargo rato probando cambios) era que no había que dejar espacios entre las IPs: [192.168.1.1,192.168.1.2]

De todas formas muchas gracias por la ayuda! =)

Test Foro de elhacker.net SMF 2.1

Usar reglas propias con snort

Fastolfe

adastra

Fastolfe